Lenovo THINKPAD W700 Implementierungshandbuch

Marke: Lenovo

Modell: THINKPAD W700

Typ: Implementierungshandbuch

Dieses Handbuch ist auch geeignet für

HardwarePasswordManager

Implementierungshandbuch

Aktualisiert:Juli2010

HardwarePasswordManager

Implementierungshandbuch

Aktualisiert:Juli2010

Anmerkung:VorVerwendungdieserInformationenunddesdarinbeschriebenenProduktssolltendie

allgemeinenHinweiseinAnhangD„Bemerkungen“aufSeite55gelesenwerden.

DritteAusgabe(Juli2010)

©CopyrightLenovo2010.

DieEntwicklungvonProdukten,Daten,ComputersoftwareundServicesvonLENOVOwurdeausschließlichausprivaten

Mittelnnanziert,siewerdenalskommerzielleProduktelaut48C.F.R.2.101miteingeschränktenRechtenfürdie

Verwendung,VervielfältigungoderOffenlegunganRegierungsbehördenverkauft.

HINWEISZUEINGESCHRÄNKTENRECHTEN(LIMITEDANDRESTRICTEDRIGHTSNOTICE):WerdenProdukte,Daten,

ComputersoftwareoderServicesgemäßeinemGSA-Vertrag(GeneralServicesAdministration)ausgeliefert,unterliegtdie

Verwendung,VervielfältigungoderOffenlegungdeninVertragNr.GS-35F-05925festgelegtenEinschränkungen.

Inhaltsverzeichnis

Einleitung................v

Kapitel1.Übersicht...........1

Kapitel2.Hardware

PasswordManageraufder

ThinkManagement-Konsole

installieren................3

Voraussetzungen...............3

DenzentralenServervorbereiten........4

Serverkongurationfürdie

ThinkManagement-KonsolemitHPM.......6

MigrationaufeinenneuenLDAP-Server......7

HardwarePasswordManageraufeinerLenovo

Einheitinstallieren..............7

Kapitel3.HardwarePassword

Manager-Einheitenmitder

ThinkManagement-Konsole

verwalten................9

HardwarePasswordManager-Einheitenundihre

Eigenschaftenanzeigen............9

RegistrierteBenutzeraufHardwarePassword

Manager-Einheitenverwalten.......10

LDAP-Serververbindungkongurieren....11

HardwarePasswordManager-Benutzerund

ihreEigenschaftenanzeigen.......11

ZugriffeinesBenutzersaufeineHardware

PasswordManager-Einheitentfernen....12

HardwarePasswordManager-Gruppen

verwalten...............13

FernausgeführteAktionenund

RichtlinieneinstellungenfürHardwarePassword

Manager-Einheitenverwalten.........14

Client-Richtlinienglobalaktualisieren......15

Hardwarekennwörterglobalaktualisieren....16

Notfall-Accountaktualisieren.........18

RichtlinieneinstellungenfürdenServerändern..18

BereicheundRollenfürKonsolenbenutzer

denieren.................20

Kapitel4.HardwarePassword

Manager-Client............23

KongurationderHardwarePassword

Manager-Einheit..............23

EineEinheitbeimHardwarePassword

Manager-Serverregistrierenunddenersten

Benutzerregistrieren............24

ZusätzlicheBenutzeraufeinerHardwarePassword

Manager-Einheitregistrieren.........25

EinenBenutzervoneinerHardwarePassword

Manager-Einheitentfernen..........25

RegistrierungeinerEinheitaufdemHardware

PasswordManager-Serveraufheben......26

BerechtigungsnachweisaufeinerHardware

PasswordManager-Einheitaktualisieren....26

Kapitel5.Implementierung......29

IntegrationvonFingerabdrücken.......29

KompatibilitätmitSafeGuardEasy/SafeGuard

Enterprise................31

One-Touch-Registrierung..........31

Vorabregistrierung...........31

Benutzerregistrierungaufeinemvorab

registriertenSystem...........32

Kapitel6.Szenarios.........33

Service-Szenarios(Kongurationsänderungen)..33

Szenario1-Änderungender

Hardwarekonguration..........33

Szenario2-CMOS-Fehler........33

Szenario3-LesegerätfürFingerabdrücke

ersetzen...............34

Szenario4-Hardwarekennwörtersindbereits

festgelegt...............35

Szenario5-KongurationimBetriebssystem

(ferneBIOS-Einstellungen)........35

Szenario6-Systemplatineersetzen....35

Szenario7-Festplattenlaufwerkhinzufügen.36

Szenario8-Festplattenlaufwerkentfernen

oderumsetzen.............36

Szenario9-PositionderFestplatteinnerhalb

einesSystemsändern..........37

Szenario10-Festplattenlaufwerkentfernen.37

Szenario11-Flash-AktualisierungdesBIOS

durchführen..............37

Szenario12-RegistriertesSystemkann

nichtmehraufdenHardwarePassword

Manager-Serverzugreifen........38

Szenario13-BIOS-Kongurationsprogramm

aufrufen...............38

Szenario14-Standardeinstellungenim

BIOS-Kongurationsprogrammladen....38

Szenario15-NichtalleFestplattenlaufwerke

schützen...............39

Benutzerszenarios.............39

Szenario1-Berechtigungsnachweisfür

Hardware-Accountvergessen,Netzist

verbunden..............39

©CopyrightLenovo2010

iii

Szenario2-Berechtigungsnachweisfür

Hardware-Accountvergessen,KEINE

Netzwerkverbindung..........39

Szenario3-UnternehmensweitesKennwort

vergessen...............39

Szenario4-ManuelleAnmeldungmit

unterschiedlichenTastaturtypen......40

Szenario5-HandhabungvonRegistrierungen

vonmehrerenBootpartitionenaus.....40

Szenario6-BitLocker..........41

AnhangA.SicherheitundKomfort..43

AnhangB.Wiederherstellungnach

einemKatastrophenfall........45

AnhangC.HinweiseundTipps....49

AnhangD.Bemerkungen.......55

Marken.................56

ivHardwarePasswordManagerImplementierungshandbuch

Einleitung

DiesesHandbuchrichtetsichanIT-Administratorenbzw.Mitarbeiter,dieineinemUnternehmenfürdie

ImplementierungdesProgramms„Lenovo

HardwarePasswordManager™“verantwortlichsind.Indiesem

HandbuchsollendieInformationenzurVerfügunggestelltwerden,diefürdasInstallierendesHardware

PasswordManagersaufeinemodermehrerenComputernerforderlichsind.Dabeiwirdvorausgesetzt,

dassfürdieeinzelnenZielcomputerLizenzenfürdieSoftwareverfügbarsind.DieAnwendung„

Hardware

PasswordManager“bietetHilfezuderAnwendung,dieAdministratorenundBenutzerverwendenkönnen,

umInformationenzurNutzungderAnwendungnachzuschlagen.

DerLenovoHardwarePasswordManagerwurdefürdiespeziellenAnforderungenvonIT-Spezialisten

entwickelt.DiesesImplementierungshandbuchenthältAnweisungenundLösungenfürdasArbeitenmit

demHardwarePasswordManager.BeiVorschlägenoderBemerkungenIhrerseitswendenSiesichan

IhrenautorisiertenLenovoAnsprechpartner.WeitereInformationenzudenTechnologien,mitdenenSie

dieGesamtbetriebskostensenkenkönnen,ndenSieaufderfolgendenWebsite.HierkönnenSieauch

überprüfen,obAktualisierungenzumvorliegendenHandbuchverfügbarsind:

http://www.lenovo.com

©CopyrightLenovo2010

viHardwarePasswordManagerImplementierungshandbuch

Kapitel1.Übersicht

MitdemLenovoHardwarePasswordManager(HPM)kanneinAdministratorHardwarekennwörterfüralle

registriertenPC-Einheitenverwalten.AußerdemwirdsoderRahmenfüreineBenutzer-IDundKennwörterauf

BIOS-Ebenegeschaffen,dieEndbenutzeralsSingleSign-on-Proxyverwendenkönnen.DieseBenutzer-ID

unddasKennwortkönnenmitderWindows-IDunddemKennwortfürdenBenutzersynchronisiertwerden.

BenutzerhabenauchdieMöglichkeit,sichperFingerabdruckbeiBIOSzuauthentizieren.Wenndie

Einheiteingeschaltetwird,wirdderBenutzerzurEingabedieserBerechtigungsnachweiseaufgefordert.

Stellterdiesebereit,wirderbeiderEinheitaufdemDesktopangemeldet.DurchdiesenMechanismus

wirddiePrivatsphärederBenutzergeschütztundsiekönnendieEinheitverwenden,auchwennihnendie

tatsächlichenHardwarekennwörternichtbekanntsind.

WennHPMinstalliertist,fungiertderzentraleServerderThinkManagement-KonsolevonLenovoals

HPM-Server-erverwaltetundauthentiziertHPM-Einheiten.ZusätzlichdienteinActiveDirectory-oder

eDirectory-LDAP-ServeralsAuthentizierungsserverfürdenHardwarePasswordManager-derHPM-Server

gleichtdieBenutzerberechtigungenmitdenDatenaufdemLDAP-Serverab.

DerAdministratorinstalliertaufLenovoClienteinheiten,dieHPMunterstützen,einenAgenten,dereine

HardwarePasswordManager-Anwendungenthält.WenndieClienteinheiteingeschaltetwird,kommuniziert

sieüberdenUDP-Port50001mitdemHPM-Server.

NachdemderClientimBetriebssystemgebootetwurde,verwendeterdieClientanwendungfürden

HardwarePasswordManager,ummiteinemWeb-ServiceaufdemServerzukommunizieren.Diese

KommunikationndetübereinenHTTPS-Kanalstatt.

DerAdministratorverwendetdieHPM-FunktioneninderThinkManagement-KonsolezurVerwaltung

derHPM-EinheitenundzumErstellenundImplementierenvonRichtlinienzudiesenEinheiten.Anhand

dieserRichtlinienwirdbestimmt,wiederHardwarePasswordManagerfürdieEinheitenimplementiert

wird.DerAdministratorwähltbeispielsweiseaus,welcheBenutzeroptionenbeiHPM-EinheitenalsTeilder

RichtliniendenitionzurVerfügungstehen.

©CopyrightLenovo2010

2HardwarePasswordManagerImplementierungshandbuch

Kapitel2.HardwarePasswordManageraufder

ThinkManagement-Konsoleinstallieren

UmdieHPM-Funktionverwendenzukönnen,mussdieThinkManagement-KonsolevonLenovoinstalliert

sein.WennSiedieseInstallationkongurieren,denierenSieVerbindungsdetailsfürIhrenLDAP-Server,um

AuthentizierungsdienstefürHPMbereitzustellen.RichtlinienzurGenerierungvonHardwarekennwörtern

undzurVerwaltungvonClienteinheitensindebenfallsinderKonsoledeniert.

AlsNächstesinstallierenSiedieHPM-Client-SoftwareaufeinzelnenLenovoEinheiten,dieHPMunterstützen.

ZumAktivierenoderInaktivierenderHPM-UnterstützungaufdiesenEinheitenwirdeineBIOS-Einstellung

verwendet.FürdieseEinstellungmussdieOption„Enabled“(Aktiviert)festgelegtsein,damitdieEinheit

mitHPMfunktioniert.

NachAbschlussdieserInstallationstaskskönnenSiemitderRegistrierungvonLenovoHPM-Einheitenauf

demHPM-ServerbeginnenundBenutzerbeidiesenEinheitenregistrieren.

Voraussetzungen

VorderInstallationderThinkManagement-KonsolemitHPMvonLenovoaufdemServersolltenSie

Folgendesbeachten:

•DerSerververfügtüberInternetzugriff,umvorausgesetzteSoftwareabzurufenunddieAktivierungnach

AbschlussderInstallationvorzunehmen.

•DerSerververfügtübereinestatischeIP-Adresse.

•DerServerkannkeinDomänencontrollersein.Eswirdjedochempfohlen,dassderServerzueiner

Domänegehört.

•DerAccount,mitdemSiesichanmelden,umdieInstallationdeszentralenServersdurchzuführen,

mussüberAdministratorberechtigungaufdemServermitvollständigenSchreib-/Lesezugriffverfügen.

ImIdealfallistdieserAccountzudemeinDomänenadministrator-Account.DieserAccountwirdzur

ErstellungdeserstenAccountsaufAdministratorebeneverwendet,überdendieAnmeldungbeider

ThinkManagement-Konsoleerfolgt.

Umeineordnungsgemäße,funktionierendeInstallationsicherzustellen,wirddiefolgende

Installationsreihenfolgeempfohlen:

1.InstallierenSiedasBetriebssystem„Windows

Server2003R2“(32Bit)mitSP2oder„WindowsServer

2008R2“(64Bit).

2.InstallierenSiedieInternetInformationServices(IIS)fürWindows-Komponenten.

Anmerkung:BeimBetriebssystem„WindowsServer2003R2“(32Bit)MUSSdiesvorderInstallation

vonASP.Netdurchgeführtwerden.

3.InstallierenSiediefolgendenWindows-Komponenten:

•ASP.Net

•SNMP

4.InstallierenSiemithilfevonWindowsUpdatealleverfügbarenkritischenAktualisierungen.

5.InstallierenSieMicrosoft

.NETFramework

abVersion2.0.

6.InstallierenSieWebServicesEnhancements(WSE)3.0fürMicrosoft.NET,wennSiedasBetriebssystem

„WindowsServer2008R2“(64Bit)verwenden,oderinstallierenSieWebServicesEnhancements(WSE)

2.0Service-Pack3,wennSiedasBetriebssystem„WindowsServer2003R2“(32Bit)verwenden.

©CopyrightLenovo2010

NachderInstallationderThinkManagement-Konsolewirdempfohlen,den„SecurityandPatchManager“zu

aktivieren,umspäterAktualisierungenfürdiesesProduktzuerhalten.KlickenSieinderKonsolenanwendung

aufHelp➙LANDesk®Hilfeassistent➙Sicherheitsaktualisierungen,umeinenLeitfadenzur

KongurationdesSecurityandPatchManagerszuerhalten.

DenzentralenServervorbereiten

DerzentraleHPM-SerververwendetdieThinkManagement-Konsole9.0,dieaufLANDeskManagement

Suite9.0basiert.WeitereInformationenzudenSystemvoraussetzungenderLANDeskManagementSuite

erhaltenSieaufderfolgendenWebsite:

http://community.landesk.com/support/docs/DOC-7478

DetailszudenVoraussetzungenfürdieInstallationderThinkManagement-Konsole9.0erhaltenSieaufder

folgendenWebsite:

http://community.landesk.com/support/docs/DOC-6767

DiebevorzugtePlattformfürdieThinkManagement-Konsole9.0istdasBetriebssystem„WindowsServer

2008R2“(64Bit).IndenfolgendenAnweisungenwirdbeschrieben,wiedasBetriebssystem„Windows

Server2008R2“(64Bit)konguriertwird,damitdieVoraussetzungenfürdieThinkManagement-Konsole

9.0erfülltwerden.

1.InstallierenSiedasBetriebssystem„WindowsServer2008R2“(64Bit)vondemInstallationsdatenträger.

Eswirdempfohlen,dasServerbetriebssystemfürdenzentralenHPM-Servererneutzuinstallieren,dadie

EinstellungendervorhandenenBetriebssystemimagesmitdemzentralenHPM-Servermöglicherweise

nichtkompatibelsind.

2.FührenSieWindowsUpdateausundstellenSiesicher,dassallewichtigenundkritischenUpdates

angewendetwurden.

3.BenennenSiedenzentralenServer.Esistwichtig,dassderNamefürdenzentralenServerrichtig

festgelegtwurde.NachderInstallationkanneinzentralerHPM-Servernichtumbenanntwerden.

4.DeaktivierenSiedenIndexdienstunddenWindows-Suchdienst,dadieseDienstedennormalenBetrieb

deszentralenHPM-Serversbehindernkönnen.WeitereDetailserhaltenSieaufderfolgendenWebsite:

http://community.landesk.com/support/docs/DOC-7245

5.FügenSiedieAnwendungsserverrollehinzu.

a.KlickenSieaufStart➙ServerManager.

b.KlickenSieaufAddRoles(Rollenhinzufügen).

c.WählenSieWebServer(IIS)aus.

d.KlickenSieaufWeiter.Siewerdenaufgefordert,dieserRollezusätzlichenotwendigeFunktionen

hinzuzufügen.

e.WählenSieAddRequiredFeatures(NotwendigeFunktionenhinzufügen).

f.WählenSieaufdemBildschirmSelectServerRoles(Serverrollenauswählen)ApplicationServer

(Anwendungsserver).Siewerdenaufgefordert,dieserRollezusätzlichenotwendigeFunktionen

hinzuzufügen.

g.KlickenSieaufAddRequiredFeatures(NotwendigeFunktionenhinzufügen).

h.KlickenSieaufdemBildschirmSelectServerRoles(Serverrollenauswählen)aufNext(Weiter).

i.KlickenSieaufWeiter.

j.WählenSieWebServer(IIS)Supportaus.Siewerdenaufgefordert,zusätzlicheRollendienste

undFunktionenhinzuzufügen.

k.KlickenSieaufAddRequiredRoleServices(NotwendigeRollendienstehinzufügen).

l.WählenSieCOM+NetworkAccess.

4HardwarePasswordManagerImplementierungshandbuch

m.KlickenSieaufWeiter.

n.KlickenSieaufWeiter.

o.WählenSieimAbschnittRoleServices(Rollendienste)ASP,CGIsowieunterApplication

Development(Anwendungsentwicklung)ServerSideIncludes(Serverseiteenthält)aus.

p.BlätternSieinderListenachuntenundwählenSieIIS6ManagementCompatibility.

q.KlickenSieaufWeiter.

r.DasDialogfensterConrmInstallationSelections(Installationsauswahlbestätigen)wirdangezeigt.

KlickenSieaufInstallieren.

s.KlickenSienachBeendigungderInstallationaufClose(Schließen).

BeimBetriebssystem„WindowsServer2008R2“(64Bit)mussaußerdemdiezusätzlicheFunktionfür

ÜberwachungundWarnungen„Monitoring/Alerts“(SNMP)installiertwerden.

1.KlickenSieaufStart➙ServerManager.

2.KlickenSieinderServerManager-KonsoleaufFeatures(Funktionen)undanschließendimrechten

TeilfensterdesFenstersaufAddFeatures(Funktionenhinzufügen).

3.WählenSieSNMPServicesaus.

4.KlickenSieaufWeiter.

5.KlickenSieaufInstallieren.

6.KlickenSieaufClose(Schließen).

BeimBetriebssystem„WindowsServer2003R2“(32Bit)mitSP2müssenaußerdemzusätzliche

Windows-Komponenteninstalliertwerden.

1.KlickenSieaufStart➙Systemsteuerung➙Software.

2.KlickenSieaufWindows-Komponentenhinzufügen/entfernen.

3.FügenSiediefolgendenKomponentenhinzu:

a.Anwendungsserver

•ASP.NET

•InternetInformationServices(IIS)

b.Verwaltungs-undÜberwachungs-Tools

•SimpleNetworkManagementProtocol

4.KlickenSieaufWeiter.

5.WählenSiefüroptionaleNetzkomponentenJaaus.

6.KlickenSieaufFertigstellen.

7.InstallierenSieMicrosoft.NETFramework2.0.

8.StartenSiedenServererneut.

WSE(WebServicesEnhancements)3.0fürMicrosoft.NETmussebenfallsinstalliertsein.Diese

KomponentewirdvonMicrosoftaufderfolgendenWebsitezurVerfügunggestellt:

http://www.microsoft.com/downloads/details.aspx?FamilyID=018a09fd-3a74-43c5-8ec1-8d789091255d&displaylang=en

1.LadenSiedasMicrosoftWSE3.0.msi-InstallationspaketüberdenobenangegebenenLinkherunter.

2.ExtrahierenSiedasInstallationspaketundführenSiedieausführbareDateiaufdemzentralenServeraus.

3.BefolgenSiedieAnweisungen,dieimDialogfensterInstallationangezeigtwerden,undverwendenSie

hierbeiausschließlichdieStandardeinstellungen.

Kapitel2.HardwarePasswordManageraufderThinkManagement-Konsoleinstallieren5

ServerkongurationfürdieThinkManagement-KonsolemitHPM

StellenSiesicher,dassderLDAP-Server(MicrosoftActiveDirectoryoderNovelleDirectory),derals

LDAP-AuthentizierungsserverfürdenHardwarePasswordManagerdient,ordnungsgemäßfunktioniert.

RegistrierenSiesich,umdasInstallationspaketfürdieThinkManagement-KonsolemitHPMvonderWebsite

http://www.landesk.com/lenovoherunterzuladen.NachderRegistrierungerhaltenSieeineE-Mailmit

einemLinkzumHerunterladendesInstallationspaketssowieLANDesk-Berechtigungsnachweisen,umden

zentralenServernachderInstallationzuaktivieren.

NachdemSiedasInstallationspaketheruntergeladenhaben,befolgenSiedieseAnweisungen,umdie

InstallationdeszentralenServersabzuschließen.

1.MeldenSiesichmitAdministratorberechtigungamServeran.

2.ExtrahierenSiedasInstallationspaket„ThinkManagement82D.exe“.KopierenSiedenPfad,indendie

Installationsquellendateienextrahiertwerden,undfügenSieihnindieZwischenablage,umleichter

daraufzugreifenzukönnen.

3.FührenSie„ThinkManagementConsoleAutorun.exe“vonderSpeicherpositionaus,indiedas

Installationspaketextrahiertwurde.WählenSieaufdemzentralenServerInstallierenaus.Befolgen

SiedieAnweisungenimInstallationsassistentenundwählenSienachderInstallationdieOptionaus,

umdasSystemjetztneuzustarten.

4.AktivierenSiedenzentralenServer,indemSieimAktivierungsprogrammdeszentralenServersIhren

LANDesk-KontaktnamenunddasKennworteingeben(hierfüristeineInternetverbindungerforderlich).

5.KongurierenSiedenLDAP-Serverwiefolgt:

a.VerbindenSiedenHARDWAREPASSWORDMANAGER-Serverundden

LDAP-AuthentizierungsservermitdemNetz.

b.StartenSiedieThinkManagement-Konsole.

c.InderToolboxbendetsicheineThinkVantage-GruppefürdenHardwarePasswordManagermitden

folgendendreiElementen:„FürHPMregistrierteBenutzer“,„HPM-Gruppen“sowie„Fernausgeführte

AktionenundRichtlinieneinstellungen“.KlickenSieaufHPM-Gruppenundanschließendinder

SymbolleisteaufdieSchaltächezumKongurierendesLDAP-Servers(diedritteSchaltäche).

d.GebenSiedieDatenfürdenLDAP-Serverein,deralsAuthentizierungsserverdienensoll.Die

folgendenElementemüssenfürdenLDAP-Serverdeniertwerden:

•Hostname:DerNamedesLDAP-Servers.

•Port:DiePortnummer,diemitdemServerkommuniziert.DerStandardportnummerfürMSActive

Directoryist389.WennSiefürdenZugriffaufmehrereActiveDirectory-Domäneneinenglobalen

Katalogabfragenmüssen,ändernSiediePortnummerin3268.WennSieNovelleDirectoryals

IhrenLDAP-Serverauswählen,istdieStandardportnummer636.

•Servertyp:WählenSiealsTypentweder„MicrosoftActiveDirectory“oder„NovelleDirectory“aus.

•Verschlüsselungsart:WählenSiedieArtderVerschlüsselungaus,diebeiderKommunikation

mitdemSerververwendetwerdensoll.

•AutorisierterBenutzer:

–DerBenutzernamefürdieAnmeldungamMicrosoftActiveDirectory-Server.

–EinDomänenname\BenutzernameodereinfacheinBenutzername.

–DerBenutzernamefürdieAnmeldunganeinemNovelleDirectory-Server.

Anmerkung:Eswirdempfohlencn=Administratorname,o=Administratorkontextzuverwenden.

WennfürdieBindungseinschränkungen(BindRestrictions)nichtsfestgelegtist(None),

funktioniertAdministratorname.Admininstratorkontext.WennfürdieBindungseinschränkungen

festgelegtist,dasseinanonymerSimpleBindnichtzugelassenwird(Disallowanonymous

simplebind),funktioniertAdministratorname.Admininistratorkontextnicht.

6HardwarePasswordManagerImplementierungshandbuch

–Kennwort:DasKennwortfürdenautorisiertenBenutzeraufdemLDAP-Server.

e.KlickenSieaufOK,wenndieInformationenvollständigsind.

DieKongurationdeszentralenServersfürdieThinkManagement-Konsolewirdjetztabgeschlossen.

MigrationaufeinenneuenLDAP-Server

MöglicherweisestellenSiefest,dassSiedieIP-AdresseoderdenHostnamenIhresLDAP-Serversändern

müssen.VielleichtmüssenSieauchzueinemneuenServermiteineranderenIP-Adresseodersogarzu

einemgänzlichanderenTypvonLDAP-Serverwechseln.

TritteinerdieserUmständeein,müssenSieeineneueLDAP-Serverkongurationerstellen.WiederholenSie

hierfürdieLDAP-KongurationstaskausSchritt5.Eswirdempfohlen,beibereitsregistriertenHPM-Geräten

dieRegistrierungzurückzunehmenundbeiderneuenLDAP-KongurationdieRegistrierungerneut

durchzuführen.AndernfallskönnenmitdenGeräten,dieüberdiealteLDAP-Kongurationregistriertwurden,

verschiedeneHPM-Aktionen,wieeineIntranet-Account-Anmeldung,nichtausgeführtwerden.

HardwarePasswordManageraufeinerLenovoEinheitinstallieren

UmdieHardwarePasswordManager-FunktionenzueinerLenovoEinheithinzuzufügen,müssenSieeinen

HPM-AgenteninderEinheitimplementieren.SiekönnenhierfürdiePush-oderPull-Methodeverwenden.

GehenSiewiefolgtvor,umeinenAgentenmitHardwarePasswordManager-Clientfunktionenzu

implementieren:

1.KlickenSieinderThinkManagement-KonsoleaufTools➙Konguration➙undanschließendaufdie

OptionzurAgentenkonguration.

2.KlickenSieinderSymbolleisteunterderOptionzurAgentenkongurationaufNeuundgebenSie

fürdieseAgentenkongurationeinenNamenein.

3.StellenSiesicher,dassimAbschnittZuinstallierendeAgentenkomponentendieOptionHardware

PasswordManagerausgewähltist.

4.SpeichernSiedieKonguration.

WennSienureineeinzelneAgentenkongurationoderdiePull-MethodebeiderImplementierungverwenden

möchten,solltenSiedieneueAgentenkongurationalsStandardkongurationfestlegen.

SolegenSiedieseAgentenkongurationalsStandardfest:

1.KlickenSieinderThinkManagement-KonsoleimFensterderAgentenkongurationmitderrechten

MaustasteaufdieneueAgentenkonguration.

2.KlickenSieaufAlsStandardwertdenieren.ÜberdemSymbolfürdieseKongurationwirdein

grünesHäkchenangezeigt.

SiekönnendenAgentennunmithilfederPush-MethodeinIhreLenovoEinheitenimplementieren.Weitere

InformationenerhaltenSieindenHilfeassistentenzurEinführungundzumErkennenundInstallierenvon

Agenten,dieSieinderKonsoleim„HelpMenu“nden.FürdieEinführungmüssenSienurdieSchrittezum

StartenderKongurationderService-ToolsundderKongurationdesBerechtigungsnachweisesfürden

Schedulerausführen.

Anmerkungen:

1.UmdenProzessderEinheitenerkennungzuvereinfachen,schaltenSiedieWindows®-Firewallaus.

2.UnterWindowsXPmussdieeinfacheDateifreigabeaufderLenovoEinheitinaktiviertwerden.Diese

FunktionistbeiEinheiten,diesichbeieinerDomäneanmelden,normalerweisestandardmäßig

Kapitel2.HardwarePasswordManageraufderThinkManagement-Konsoleinstallieren7

inaktiviert.SiekönnendieseOptionüberdenWindowsExplorerausschalten.KlickenSieaufTools➙

Ordneroptionen➙Ansicht,blätternSieinderListenachuntenunddeaktivierenSiedieFunktionfür

dieEinfacheDateifreigabe.

3.UnterWindowsVista

wirdempfohlen,dieBenutzerkontosteuerungauszuschalten.

WennderAgentimplementiertist,wirddasHPM-Client-PortalaufderEinheitinstalliert.DerDateinamedes

Client-Portalslautet„cmp_portal.exe“undbendetsichimVerzeichnisC:\ProgramFiles\Lenovo\Hardware

PasswordManager.

SiekönnendenAgentenauchmithilfederPull-Methodeimplementieren.BeidieserMethodewirdaufdem

HPM-ServereineVerbindungzueinemgemeinsamgenutztenOrdnerhergestelltundeineAnwendung

ausgeführt,mitderdiezuvorbeschriebeneStandardagentenkongurationinstalliertwird.

1.MeldenSiesichaufderLenovoEinheitalsDomänenadministratoroderalslokalerAdministratoran.

2.StellenSiezumfreigegebenenLDLOGON-LaufwerkeineVerbindungher,entwederdirektüberden

ExploreroderindemSie\\<IhrHPM-Servername>\ldlogonmitdenBerechtigungsnachweisenfürden

DomänenadministratoroderanderenBerechtigungsnachweisen,mitdenenSieZugriffaufdieses

gemeinsambenutzteLaufwerkerhalten,einNetzlaufwerkzuordnen.

3.StartenSievomgemeinsambenutztenLaufwerkWSCFG32.EXE.EswirdeinDialogfensterangezeigtmit

denKomponenten,dieinstalliertwerden.StellenSiesicher,dassdieOptionThinkVantageHardware

PasswordManagerausgewähltist.

4.FolgenSiedenangezeigtenAnweisungen,umdieInstallationdesAgentenabzuschließen.

IneinigenFällenistesmöglicherweiseerforderlich,denThinkVantageHardwarePasswordManager-Client

ineinFirmenimageeinzuschließenoderihnübereinanderesSystemmanagementtoolodereinen

Systemmanagementprozessbereitzustellen.UmdiesenSzenarienRechnungzutragen,kannüberdie

KonsoleeinseparatesausführbaresPaketderAgentenkongurationgeneriertwerden.Mitdiesem

ausführbarenPaketwirdderAgentinstalliert,ohnedasseineBenutzerinteraktionnötigwäre.

SoerstellenSieeinseparatesausführbaresPaketfürdieInstallationdesAgenten:

1.KlickenSieinderThinkManagement-KonsoleimFensterderAgentenkongurationmitderrechten

MaustasteaufNewagentconguration(NeueAgentenkonguration).

2.KlickenSieaufdieOptionzumErstelleneinesseparatenPaketsfürdieClientinstallation.

3.GebenSiedenOrdneran,indenSiedieausführbareDatei,dieimDialogfensterangezeigtwird,

speichernmöchten.

DerNamederausführbarenDateibasiertaufdemNamenderAgentenkonguration.DerProzesswird

ungefähreineMinutelangimHintergrundausgeführt.EswerdenzweiausführbareDateienundzwei

Protokolldateienerstellt.MiteinerausführbarenDatei,diedurch„_with_status“gekennzeichnetist,wird

einInstallationsprogrammbereitgestellt,dasdenInstallationsstatusanzeigt.DieandereausführbareDatei

wirdimHintergrundinstalliert.

8HardwarePasswordManagerImplementierungshandbuch

Kapitel3.HardwarePasswordManager-Einheitenmitder

ThinkManagement-Konsoleverwalten

DieinderKonsoleverfügbarenHardwarePasswordManager-FunktionensindindenfolgendenAbschnitten

beschrieben:

•„HardwarePasswordManager-EinheitenundihreEigenschaftenanzeigen“aufSeite9

•„RegistrierteBenutzeraufHardwarePasswordManager-Einheitenverwalten“aufSeite10

•„LDAP-Serververbindungkongurieren“aufSeite11

•„HardwarePasswordManager-BenutzerundihreEigenschaftenanzeigen“aufSeite11

•„ZugriffeinesBenutzersaufeineHardwarePasswordManager-Einheitentfernen“aufSeite12

•„HardwarePasswordManager-Gruppenverwalten“aufSeite13

•„FernausgeführteAktionenundRichtlinieneinstellungenfürHardwarePasswordManager-Einheiten

verwalten“aufSeite14

•„Client-Richtlinienglobalaktualisieren“aufSeite15

•„Hardwarekennwörterglobalaktualisieren“aufSeite16

•„Notfall-Accountaktualisieren“aufSeite18

•„RichtlinieneinstellungenfürdenServerändern“aufSeite18

HardwarePasswordManager-EinheitenundihreEigenschaftenanzeigen

InderNetzübersichtwirdimOrdnermitdenEinheiteneinseparaterOrdnerfürLenovoHardwarePassword

Manager-Einheitenhinzugefügt,dieerkanntundverwaltetwerden.ÖffnenSiediesenOrdnermitHardware

PasswordManager-Einheiten,umeineListederComputerundFestplattenanzuzeigen.

GehenSiewiefolgtvor,umdieEigenschafteneinerHardwarePasswordManager-Einheitanzuzeigen:

1.ErweiternSieinderNetzübersichtfürdieThinkManagement-KonsoledenOrdnermitdenEinheitenund

erweiternSieanschließenddenOrdner,derdieHardwarePasswordManager-Einheitenenthält.

2.KlickenSiejenachbenötigtemEinheitentypentwederaufComputers(Computer)oderHarddisks

(Festplatten).

3.KlickenSiemitderrechtenMaustasteaufdenNamenderEinheitundwählenSiedieEigenschaftendes

HardwarePasswordManagersaus.

DieInformationenimDialogfensterProperties(Eigenschaften)könnennichtbearbeitetwerden.Die

InformationenaufdeneinzelnenRegisterkartensindnachfolgendzusammengefasst.

Summary(Zusammenfassung)

AufdieserRegisterkarteaufgeführteKennwörterwerdenstandardmäßigabgeblendet.WählenSieunten

aufderRegisterkarteShowallpasswordtexts(TextfüralleKennwörteranzeigen).Dadurchwirddie

unbeabsichtigteAnzeigevonHardwarekennwörternverhindert.

•Registrationtimeandstatus(Registrierungszeitund-status):FührtdasDatum/dieUhrzeitder

RegistrierungsowiedenaktuellenStatusauf.

•BIOSpasswords(BIOS-Kennwörter):ZeigtdieKennwörterfürdieeinzelnenBIOS-Prole

sowiedasDatum/dieUhrzeitderletztenSicherungdesProlsan.DieserAbschnittenthältdas

Administratorkennwort(SVP)fürdieAnmeldungbeiderEinheitmitAdministratorzugriff,sowiedas

Startkennwort(POP)fürdieAnmeldungbeiderEinheitmitBenutzerzugriff.

•Harddiskpasswords(Festplattenkennwörter):FührtdieKennwörterfürdenZugriffaufdieeinzelnen

FestplattenderEinheitauf.IndiesemAbschnittwerdendasHauptkennwort,dasBenutzerkennwortund

sämtlicheSicherungskennwörterfürdieFestplatteangezeigt,diefürdieFestplattemöglicherweise

generiertwurden(klickenSieaufView(Anzeigen),umdieListederSicherungskennwörteranzuzeigen).

•EmergencyAdminAccount(Notfall-Administrator-Account):FührtdenBerechtigungsnachweisfür

denAdministrator-Accountauf,mitdemaufdieHardwarePasswordManager-Einheitzugegriffenwerden

kann.DerNotfall-Administrator-AccountwirdaufjederEinheiterstellt.DieserBerechtigungsnachweis

kannineinemNotfalldazuverwendetwerden,mitAdministratorberechtigungaufdasBIOSderEinheit

zuzugreifen.

Enrolledusers(RegistrierteBenutzer):

AlleBenutzer,diefürdenZugriffaufdieHardwarePasswordManager-Einheitregistriertsind,werdenauf

dieserRegisterkarteaufgeführt.DerBenutzernamefürdenIntranet-AccountistderName,derfürdie

AnmeldungamLDAP-Benutzer-Accountverwendetwird.DerBenutzernamefürdenHardware-Accountist

derName,derzumSpeichernvonDatenimHardware-Accountverwendetwird(eingeschützterBereich

desnichtüchtigenSpeichers,aufdennurüberdasBIOSdesComputerszugegriffenwerdenkann).

DerLDAP-PfadgibtdiePositiondesBenutzersinderVerzeichnisstrukturdesLDAP-Serversan(z.B.

CN=ADMINISTRATOR,CN=USERS,DC=TESTLAB).

Memberof(Mitgliedvon):

AufdieserRegisterkartesinddieIntranet-Account-Gruppenaufgeführt,indenendieEinheitMitgliedist.Der

LDAP-PfadzeigtdiePositionderGruppeinderVerzeichnisstrukturdesLDAP-Serversan.

RemoteActions(FernausgeführteAktionen):

ImAbschnittRemoteactions(FernausgeführteAktionen)sindallefrüherenfernausgeführtenAktionen

aufgelistet,dieaufdieseHardwarePasswordManager-Einheitangewendetwurden.ImAbschnittzum

EntfernenderdurchdenBenutzerfernausgeführtenAktionen(Removeuserremoteactions)sinddie

Benutzeraufgeführt,diebeiderEinheitregistriertwurden,derenZugriffjedochwiderrufenwurde.

ClientPolicy(Client-Richtlinie):

InderListemitderWindows-Richtlinie(Windowspolicy)istderStatusderzumBetriebssystemgehörigen

Richtlinieneinstellungenaufgeführt,diederzeitaufderEinheitangewendetwerden.InderListemitder

BIOS-Richtlinie(BIOSpolicy)istderStatusderzumBIOSgehörigenRichtlinieneinstellungenaufgeführt,

diederzeitaufderEinheitangewendetwerden.DieseEinstellungenwerdenimDialogfensterfürdie

AktualisierungderClient-Richtlinieausgewählt.WeitereInformationenhierzuerhaltenSieimAbschnitt

„Hardwarekennwörterglobalaktualisieren“aufSeite16

RegistrierteBenutzeraufHardwarePasswordManager-Einheiten

verwalten

WenneineLenovoHardwarePasswordManager-EinheitbeimHardwarePasswordManager-Server

registriertist,istderHauptbenutzerdieserEinheitalsautorisierterBenutzerdieserHardwarePassword

Manager-Einheitregistriert.SiekönnenzusätzlicheBenutzeraufjedereinzelnenHardwarePassword

Manager-Einheitregistrieren,indemSiedasClient-PortalaufderEinheitverwendenoderindemSieden

BenutzerineineHardwarePasswordManager-Gruppeaufnehmen,diefürdieseEinheitberechtigtist.

UmBenutzerfürHardwarePasswordManager-Einheitenzuverwalten,verwendenSiedieOptionHPM

EnrolledUsers(HPM-registrierteBenutzer)inderToolboxderThinkManagement-Konsole(oderklickenSie

aufTools➙ThinkVantageHardwarePasswordManager➙HPMEnrolledUsers).

10HardwarePasswordManagerImplementierungshandbuch

MithilfedesToolsfürHPM-registrierteBenutzerkönnenSie:

•DieLDAP-Serververbindungkongurieren

•EineListederHardwarePasswordManager-Benutzeranzeigen

•DieEigenschafteneinesHardwarePasswordManager-Benutzersanzeigen

•DenZugriffeinesBenutzersaufeineHardwarePasswordManager-Einheitwiderrufen

LDAP-Serververbindungkongurieren

InderAnsichtzurVerwaltungregistrierterBenutzersindBenutzerundGruppenineinerVerzeichnisstruktur

mitdenBenutzernundGruppenaufdemLDAP-Serveraufgeführt,dieSiefürdieAuthentizierungbeim

HardwarePasswordManagerverwendenkönnen.UmdieseVerzeichnisstrukturanzuzeigen,müssenSie

zuerstdieLDAP-Serververbindungkongurieren.

MitdenDaten,dieSieindiesesDialogfenstereingeben,wirddemHardwarePasswordManager-Serverdas

HerstelleneinerVerbindungzumLDAP-Serverermöglicht,derentwedereinMicrosoftActiveDirectory-Server

odereinNovelleDirectory-Serverseinkann.

SiekönneneineMigrationvoneinemLDAP-ServerzueinemanderenohnedenVerlustvonDaten

durchführen.WennSiefeststellen,dassSieeinenanderenServerfürdieLDAP-Authentizierungbenötigen,

gebenSiedieKongurationsdatenfürdenneuenServerein.

GehenSiewiefolgtvor,umeineLDAP-Serververbindungzukongurieren:

1.KlickenSieinderToolboxaufHPMEnrolledUsers(FürHPMregistrierteBenutzer)(oderklickenSieauf

Tools➙ThinkVantageHardwarePasswordManager➙HPMEnrolledUsers).

2.KlickenSieaufLDAP-Server.

3.GebenSieindasFeldHostnamedenHostnamendesLDAP-Serversein.

4.WennSieeinenanderenPortalsdenStandardportverwendenmöchten,umaufdenServerzuzugreifen,

inaktivierenSieStandardportverwendenundgebenSieeineanderePortnummerein.

5.WählenSiedenServertypaus(MSActiveDirectoryoderNovelleDirectory).

6.WählenSiedieVerschlüsselungsartfürdenServeraus.

7.GebenSiedenBerechtigungsnachweis,derfürdenZugriffaufdenLDAP-Serververwendetwird,

indieFelderBerechtigterBenutzerundKennwortein.DerBenutzerkannentwederinFormvon

Domäne\BenutzernameodereinfachalsBenutzernameeingegebenwerden.

HardwarePasswordManager-BenutzerundihreEigenschaftenanzeigen

MitdemToolfürHPM-registrierteBenutzerkönnenSiealleBenutzeranzeigen,diefürdenZugriffaufLenovo

HardwarePasswordManager-Einheitenregistriertsind.SiekönneneineListeallerBenutzeranzeigenoder

SiekönnenGruppeninderLDAP-Verzeichnisstrukturauswählen,umUntergruppeninderListeanzuzeigen.

SiekönnenalleEigenschaftenfürjedeneinzelnenregistriertenHardwarePasswordManager-Benutzer

anzeigen,einschließlichBenutzer-ID,LDAP-Pfad,Gruppen,indenenderBenutzerMitgliedist,sowie

Einheiten,beidenenderBenutzerregistriertist.DieseEigenschaftenkönnennichtüberdasDialogfenster

Properties(Eigenschaften")bearbeitetwerden.

GehenSiewiefolgtvor,umregistrierteHardwarePasswordManager-BenutzerundderenEigenschaften

anzuzeigen:

1.KlickenSieinderToolboxaufHPMEnrolledUsers(FürHPMregistrierteBenutzer)(oderklickenSieauf

Tools➙ThinkVantageHardwarePasswordManager➙HPMEnrolledUsers).

2.UmalleregistriertenBenutzeranzuzeigen,klickenSieinderVerzeichnisstrukturaufAlleBenutzer.

Kapitel3.HardwarePasswordManager-EinheitenmitderThinkManagement-Konsoleverwalten11

3.UmeineUntergruppevonBenutzernanzuzeigen,erweiternSiedieinderVerzeichnisstruktur

aufgeführtenGruppenundklickenSieaufeinenGruppennamen.

4.UmdieEigenschafteneinesBenutzersanzuzeigen,klickenSieineinerBenutzerlistemitderrechten

MaustasteaufdenentsprechendenBenutzerundklickenSieProperties(Eigenschaften)aus.

Anmerkung:SiekönnenauchdenBenutzerauswählenundaufdieSchaltächefürdieEigenschaftenin

derSymbolleisteklicken.

DieOptionenimDialogfensterProperties(Eigenschaften)sindnachfolgendzusammengefasst.

Summary(Zusammenfassung):

AufdieserRegisterkartesinddieIDundderallgemeineNamedesBenutzers,derPfadinder

LDAP-Verzeichnisstruktur,indersichderBenutzerbendet,sowiederaktuelleStatusdesBenutzers

aufgeführt.HiersindauchdasDatumunddieUhrzeitaufgeführt,zudem/derderBenutzerfürdenHardware

PasswordManagerregistriertwurde.

Memberof(Mitgliedvon):

AufdieserRegisterkartesinddieLDAP-Gruppenaufgeführt,zudenenderBenutzergehört,einschließlich

desLDAP-PfadesjederGruppe.

Enrolleddevices(RegistrierteEinheiten):

AufdieserRegisterkartensinddieEinheitenaufgeführt,beidenenderBenutzerregistriertist(mit

EinheitennamenundMaschinen-ID).

RemoteActions(FernausgeführteAktionen):

AufdieserRegisterkartesindalleentferntenBenutzeraktionenaufgeführt,diefürdenBenutzerdurchgeführt

wurden,einschließlichdesNamensderEinheit,vonderausderBenutzerentferntwurde,sowiedesDatums

undderUhrzeitderletztenÄnderung.

ZugriffeinesBenutzersaufeineHardwarePasswordManager-Einheit

entfernen

NachdemeinBenutzeraufeinerHardwarePasswordManager-Einheitregistriertwurde,könnenSiedie

Registrierungwiderrufen,wennderBenutzerkeinenZugriffmehraufdieseEinheithabensoll.Umeinen

Benutzerzuentfernen,erstellenSieeinefernausgeführteAktion,dieaufjedevonIhnenangegebeneEinheit

angewandtwird.DasnächsteMal,wenndieEinheitmitdemHardwarePasswordManager-Serverzur

AktualisierungseinerRichtlinieverbundenwird,wirdderBenutzerausderListederBenutzerfürdiese

Einheitentfernt.

GehenSiewiefolgtvor,umeinenBenutzervoneinerHardwarePasswordManager-Einheitzu

entfernen:

1.KlickenSieinderToolboxaufHPMEnrolledUsers(FürHPMregistrierteBenutzer)(oderklickenSieauf

Tools➙ThinkVantageHardwarePasswordManager➙HPMEnrolledUsers).

2.WählenSieinderBenutzerlisteden(die)entsprechendenBenutzeraus.

3.KlickenSieinderSymbolleisteaufdieSchaltächezumWiderrufeneinesBenutzers.

4.InaktivierenSieimDialogfensterzumErstellenvonfernausgeführtenAktionendasMarkierungsfeldfür

eineodermehrereEinheiten,vondenenSiedenBenutzerentfernenmöchten.

5.KlickenSieaufOK.

12HardwarePasswordManagerImplementierungshandbuch

Seite laden ...

Lenovo THINKPAD W700 Implementierungshandbuch

Marke: Lenovo

Modell: THINKPAD W700

Typ: Implementierungshandbuch

Dieses Handbuch ist auch geeignet für

PDF Herunterladen

Bericht

Lenovo THINKPAD W700 Implementierungshandbuch

Dieses Handbuch ist auch geeignet für

Lenovo THINKPAD W700 Implementierungshandbuch

Verwandte Papiere

Sonstige Unterlagen